HowTo
Einrichtung & Konfiguration
Avira AntiVir Professional für UNIX
Avira Support
Juni 2009
Inhaltsverzeichnis
1 In welcher Umgebung kann es eingesetzt werden? .............................................................. 2
2 Installation.............................................................................................................................. 2
3 Empfohlene Basiskonfiguration............................................................................................ 3
4 Was kann zusätzlich konfiguriert werden? ........................................................................... 6
4.1 Kein Echtzeitschutz..................................................................................................................... 6
4.2 Hohe Auslastung des Systems .................................................................................................... 6
4.3 Ausnahme von Verzeichnissen................................................................................................... 6
5 Besonderheiten – NSS Volumes ............................................................................................7
6 Kommandozeilenscanner - avscan ........................................................................................ 7
7 Updatekonfiguration .............................................................................................................. 8
7.1 Sinnvolle Werte für ein Update ................................................................................................. 8
7.2 Große Unternehmen:.................................................................................................................. 8
7.3 Small Business:............................................................................................................................ 8
7.4 Kunden mit Schmalband Anschlüssen (Modem/ISDN): ......................................................... 9
7.5 ISPs.............................................................................................................................................. 9
7.6 Signaturenupdate........................................................................................................................ 9
1
1 In welcher Umgebung kann es eingesetzt werden?
- Lokaler Virenschutz
Hierbei sind lediglich die entsprechenden Shares mit DazukoFS zu mounten (bzw.
als IncludePfad bei Dazuko2 zu konfigurieren).
Die Avira AntiVir Professional kann sowohl mit (OnAccess) als auch ohne
Echtzeitschutz (OnDemand) betrieben werden
2 Installation
- Dekomprimieren: gzip -d antivir-workstation-prof-3.0.2-5.tar.gz
- Entpacken tar -xvf antivir-workstation-prof-3.0.2-5.tar.gz
- Verzeichnis wechseln: cd antivir-workstation-prof-3.0.2-5.tar.gz
- Installation ausführen: ./install\
Installationsdialog folgen ...
Folgende Abfragen sind empfohlen und sollten übernommen werden:
- Would you like to setup Engine and Signature updates as cron task ? [y]
- Please specify the interval to check. Recommended values are daily or 2 hours.
available options: d [2]
- Please specify if boot scripts should be set up.
Set up boot scripts [y]
Bitte beachten Sie, dass für die Installation des Echtzeitschutzes unter Unix wird das
externe Kernelmodul Dazuko 3.0 benötigt.
Weitere Informationen finden Sie unter www.dazuko.org.
2
3 Empfohlene Basiskonfiguration
# Anzahl der Scannerdaemons
NumDaemons 3
# Dies bewirkt den Start von 3 Daemons, welche für einen normalen Betrieb
ausreichend sind. Die Anzahl kann bei hoher Last erhöht werden. Beachten Sie
jedoch, dass hierbei genug freier Arbeitsspeicher vorhanden sein sollte!
# Aktion bei Fund
AlertAction quarantine
#Bei einem Fund wird die Datei in das Quarantäneverzeichnis verschoben und
umbenannt. Dadurch ist die Datei für den User nicht mehr zugänglich, wird aber
nicht gelöscht oder verändert für den Fall, dass es sich um ein False Positive
handelt.
# Default: QuarantineDirectory NONE
QuarantineDirectory /home/quarantine
# Wenn eine Datei im /home-Verzeichnis in die Quarantäne verschoben werden soll,
ist es aus Performancegründen sinnvoll, dies hier zu setzen.
Statt eine große Datei von einer Partition zur anderen zu kopieren, muss diese auf
der gleichen Partition einfach nur verschoben werden.
# Zu überprüfende Dateien
ScanMode all
# Dies überprüft aus Sicherheitsgründen alle Dateien.
# Archivüberprüfung
ArchiveScan yes
# Aktiviert das Scannen von kleineren bis mittleren Archiven. Grosse Archive sollten
aus Performancegründen beschränkt werden – s.u.
Grosse Archive können z.B. mit Hilfe eines regelmäßigen Scans überprüft werden.
# Scan in mbox
MailboxScan yes
# Führt zu einem Scan der Mailboxen. Dies sollte aus Sicherheitsgründen aktiviert
sein, sofern gewünscht.
# Maximal zu überprüfende Archivgröße
ArchiveMaxSize 1GB
# Archivbeschränkung auf insgesamt 1GB aus Performancegründen.
# Maximal zu überprüfende Archivtiefe
ArchiveMaxRecursion 20
# Archivbeschränkung auf insgesamt 20 Ebenen aus Performancegründen.
# Maximal zu überprüfende Kompressionsrate
ArchiveMaxRatio 150
3
# Archivbeschränkung auf eine Kompressionsrate von insgesamt 150 aus
Performancegründen.
# Maximal zu überprüfende Anzahl von Dateien
ArchiveMaxCount 0
# Archivbeschränkung auf eine bestimmte Anzahl von Dateien aus
Performancegründen. Dies ist in der Regel nicht notwendig.
# Benachrichtigungslevel
SuppressNotificationBelow scanner warning
# Sendet Email-Benachrichtigungen für die Komponente „scanner“ ab einem Event
„warning“ und hoeher. Dies wird für eine ausreichende Benachrichtigung empfohlen.
# Logdatei festlegen
LogFile /var/log/avguard.log
# Legt die Logdatei des OnAccess-Scanners fest. Dies ist der Standardpfad.
# Erkennung von anderer bzw. ungewollter Software
DetectPrefixes adspy=yes appl=no bdc=yes dial=yes game=no hiddenext=yes
joke=no pck=no phish=yes spr=no
# Bietet per Default einen wirksamen Schutz vor ungewollter Software, wie z.B.
versteckte Dateiendungen, Phishing, Dial-Up Programme, Backdoor Programme und
ungewollten Werbepop-ups durch nicht gewollte Programme.
Sie können die Erkennung jedoch auch mit Hilfe der folgend aufgeführten Liste an
Ihre Wünsch anpassen:
--# ADSPY: Software that displays advertising pop-ups or software, that very
# often, without the user's consent, sends user specific data to
# third parties and might therefore be unwanted.
# APPL: The term APPL/ denotes an application of dubious origin or which
# might be hazardous to use.
# BDC: Is the Control software for backdoors. Control software for
# backdoors are generally harmless.
# DIAL: A Dial-Up program for connections that charge a fee. Its use might
# lead to huge costs for the user.
# GAME: It concerns a game that causes no damage on your computer.
4
# HEUR-DBLEXT: The file has an executable file extension, but hides it behind a
# harmless one.
# JOKE: A harmless joke program is present as file.
# PCK: File has been compressed with an unusual runtime compression tool.
# Please, make sure that this file comes from a trustworthy source.
# PHISH: Faked emails that are supposed to prompt the victim to reveal
# confidential information such as user accounts, passwords or
# online-banking data on certain websites.
# SPR: Software that may be able to compromise the security of your system,
# initiate unwanted program activities, damage your privacy or spy
# out your user behavior and might therefore be unwanted.
---
# Aktiviert Heuristik auf Stufe Mittel
HeuristicsLevel 2
# Ein guter Mix zwischen Erkennung und Früherkennung. Dies verhindert eine
Vielzahl möglicher False Positives.
# Aktiviert Erkennung von möglichen Macroviren in Office-Dokumenten
HeuristicsMacro yes
# Wir empfehlen den Scan in Office-Dokumenten für eine bestmögliche
Überwachung
5
4 Was kann zusätzlich konfiguriert werden?
4.1 Kein Echtzeitschutz
Für einen reinen Kommandozeilenscanner ohne Echtzeitschutz kann der Parameter
'OndemandMgmt yes' in der /etc/avguard.conf gesetzt werden. Dies führt dazu, dass
Dazuko bzw. DazukoFS nicht extra geladen werden muss.
4.2 Hohe Auslastung des Systems
Je nach Auslastung kann zur Performancesteigerung beim Parameter NumDaemons
ein Wert zwischen 3 und 20 gewählt werden. Die dabei gewählten Einstellungen
sollten im Verhältnis des Bedarfs und dem verfügbaren Arbeitsspeicher abgewogen
werden.
4.3 Ausnahme von Verzeichnissen
Generell sollten Ausnahmen auf Datenbankverzeichnisse gesetzt werden, da diese
aufgrund der internen Struktur nicht korrekt gescannt werden und außerdem massive
Performanceproblem verursachen können.
Die Ausnahmen können mit dem Parameter ExcludePath gesetzt werden.
Beispiel:
/etc/avira/avguard.conf
ExcludePath /dbdir
6
5 Besonderheiten – NSS Volumes
Der NSS startet z.B. unter SLES sehr spät. Dies führt dazu, dass das bereits
gemountete DazukoFS vom NSS überlagert wird und damit nicht mehr korrekt
arbeitet.
Daher ist es notwendig die Runlevel so anzupassen, dass die betroffenen Shares
nach dem Start des NSS mit DazukoFS gemountet werden. Nähere Informationen
zur Anpassung der Startreihenfolge entnehmen Sie bitte der jeweiligen
Betriebssystemdokumentation.
6 Kommandozeilenscanner - avscan
Das avscan-Binary bietet den OnDemand-Scanmodus und kann unter
/usr/lib/AntiVir/avscan mit beliebigen Parametern aufgerufen werden.
Der folgende Aufruf ähnelt der oben beschriebenen Guard-Konfiguration. Die
Parameter lassen sich entsprechend ableiten. Der Scan selbst wird im /home
Verzeichnis ausgeführt.
Der Parameter -s steht für eine rekursive Suche in Unterverzeichnissen. Um den
Scan automatisch ohne Userinteraktion durchzuführen, kann der Parameter –batch
verwendet werden. Funde werden so automatisch in die Quarantäne verschoben:
$ avscan --scan-in-archive=yes --scan-in-mbox=yes --archivemax-size=0 --archive-max-recursion=0 --archive-max-ratio=0 -scan-mode=all --heur-macro=yes --heur-level=2 --alertaction=quarantine --quarantine-dir=/home/quarantine -s --batch
/home
Dies kann auch mittels Cronjob automatisiert werden. Es ist empfehlenswert, den
Aufruf in Form eines Shell-Skriptes zu erstellen und entsprechend per Cronjob
aufzurufen – z.B. 1x wöchentlich am Samstag um 12 Uhr:
00 12 * * 6 root /usr/local/bin/virenscan.sh
7
7 Updatekonfiguration
Um Ihre AntiVir Installation auf den aktuellen Stand zu halten, werden zwei Arten von
Updates bei der Installation eingerichtet:
Scannerupdate (nur Scanner & Engine & VDF)
Produktupdate (Guard Programmdateien)
Die Einstellungen für das Update finden Sie nach der Installation in folgender Datei:
/etc/cron.d/avira_updater:
00 */2 * * * root /usr/lib/AntiVir/avupdate --product=Scanner
15 12 * * Tue root /usr/lib/AntiVir/avupdate --product=Guard
7.1 Sinnvolle Werte für ein Update
Je nach Zielgruppe empfehlen wir unseren Kunden mindestens 2-3 mal am Tag, ein
Update durchzuführen.
7.2 Große Unternehmen:
Beispiel: jede Stunde
/etc/cron.d/avira_updater:
* */1 * * * root /usr/lib/AntiVir/avupdate --product=Scanner
7.3 Small Business:
Beispiel: alle 3 Stunden
/etc/cron.d/avira_updater:
* */3 * * * root /usr/lib/AntiVir/avupdate --product=Scanner
8
7.4 Kunden mit Schmalband Anschlüssen (Modem/ISDN):
Beispiel: alle 8 Stunden
/etc/cron.d/avira_updater:
* */8 * * * root /usr/lib/AntiVir/avupdate --product=Scanner
7.5 ISPs
Für Internet Service Provider empfiehlt es sich natürlich, deutlich öfter die neuesten
Signaturen zu laden. Daher sollte die Frequentierung der Updateaufrufe deutlich
höher angelegt sein, z.B. alle 15 Minuten. So ist sichergestellt, dass Sie immer
zeitnah die neuesten Signaturen einsetzen.
/etc/cron.d/avira_updater:
*/15 * * * * root /usr/lib/AntiVir/avupdate --product=Scanner
7.6 Signaturenupdate
Es gibt darüber hinaus die Möglichkeit, ein reines Engine- und VDF- Update
durchzuführen. Die Guard Produktdateien, sowie der zentrale Scannerdienst
(SAVAPI) werden dabei nicht mitaktualisiert.
Dies kann im Allgemeinen sehr interessant für Sie sein, wenn Sie Programmupdates
als besonders sensitiv betrachten. Dadurch erhalten Sie die Möglichkeit, auf einem
separaten Testsystem zunächst einen Audit durchzuführen, bevor Sie die neue
Version produktiv einsetzen.
Der Aufruf dafür lautet:
$ /usr/lib/AntiVir/avupdate --product=Signatures
9
Loading...